Security Bulletin - November 21 2023

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

November 2023 Security Bulletin

このセキュリティ情報に含まれる問題は、当社の開示範囲が最近拡大した結果のものである点にご注意ください。これまでは、ファースト パーティの、深刻度レベルが重大 (クリティカル) の脆弱性をクリティカルな勧告を通じて開示することに重点を置いていました。このセキュリティ情報に含まれる重大度の高い脆弱性は、以前公開した重要な勧告に比べ、影響度は低くなります。この変更により可視性と情報開示が増加しますが、脆弱性が増えるわけではありません。むしろ、脆弱性の透明性に対してより積極的なアプローチをとっており、当社のお客様が製品の更新に関して情報に基づいた決定を下すために必要な情報を提供することに尽力しています。

本セキュリティ情報で報告されている脆弱性には、先月リリースされた当社製品の新バージョンで修正された深刻度の高い脆弱性が 26 件含まれています。これらの脆弱性は、弊社のバグ報奨金および侵入テストのプロセス、そして、サード パーティのライブラリ スキャンを通じて発見されます。

tip/resting Created with Sketch.

セキュリティ情報に関するご質問がございましたら、こちらの新しい形式に関する詳細をご確認ください。

リリースされたセキュリティ脆弱性
要約深刻度CVSS スコア影響を受けるバージョンCVE ID詳細情報公開日
Info Disclosure com.google.guava:guava in Jira Software Data Center and Server7.1All versions including and after 8.20.0CVE-2023-2976JSWSERVER-254152023 年 11 月 21 日
DoS (Denial of Service) com.google.code.gson:gson in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2022-25647JSWSERVER-254122023 年 11 月 21 日
DoS (Denial of Service) org.jsoup:jsoup in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2021-37714JSWSERVER-254102023 年 11 月 21 日
Deserialization com.fasterxml.jackson.core:jackson-databind in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2022-42004JSWSERVER-254092023 年 11 月 21 日
DoS (Denial of Service) com.fasterxml.jackson.core:jackson-databind in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2022-42003JSWSERVER-254082023 年 11 月 21 日
DoS (Denial of Service) jackson-databind in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2021-46877JSWSERVER-254072023 年 11 月 21 日
DoS (Denial of Service) com.fasterxml.jackson.core in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2020-36518JSWSERVER-254062023 年 11 月 21 日
DoS (Denial of Service) org.apache.tomcat:tomcat-catalina in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2023-42794JSWSERVER-254002023 年 11 月 21 日
DoS (Denial of Service) io.netty:netty-codec-http2 in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2023-44487JSWSERVER-253982023 年 11 月 21 日
Cache Poisoning org.eclipse.jetty:jetty-server in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2017-7656JSWSERVER-221482023 年 11 月 21 日
DoS (Denial of Service) org.eclipse.jetty:jetty-io in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2021-28165JSWSERVER-221452023 年 11 月 21 日
Info Disclosure org.eclipse.jetty:jetty-util in Jira Software Data Center and Server7.5All versions including and after 8.20.0CVE-2017-9735JSWSERVER-221412023 年 11 月 21 日
RCE (Remote Code Execution) in Crowd Data Center and Server8All versions including and after 3.4.6CVE-2023-22521CWD-61392023 年 11 月 21 日
SSRF org.apache.xmlgraphics in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-41704CONFSERVER-931792023 年 11 月 21 日
SSRF org.apache.xmlgraphics:batik-bridge in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-40146CONFSERVER-931782023 年 11 月 21 日
XSS org.apache.xmlgraphics:batik-script in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-42890CONFSERVER-931752023 年 11 月 21 日
org.apache.tomcat:tomcat-catalina Vulnerability in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-45143CONFSERVER-931732023 年 11 月 21 日
DoS (Denial of Service) net.sourceforge.nekohtml:nekohtml in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-28366CONFSERVER-931692023 年 11 月 21 日
Request Smuggling org.apache.tomcat:tomcat-coyote in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2022-42252CONFSERVER-931682023 年 11 月 21 日
DoS (Denial of Service) org.apache.tomcat:tomcat-catalina in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2023-42794CONFSERVER-931642023 年 11 月 21 日
DoS (Denial of Service) io.netty:netty-codec-http2 in Confluence Data Center and Server7.5All versions including and after 6.13.0CVE-2023-44487CONFSERVER-931632023 年 11 月 21 日
Third-Party Dependency in Bitbucket Data Center and Server7.5All versions including and after 7.21.0CVE-2021-40690BSERV-189862023 年 11 月 21 日
DoS (Denial of Service) apache-struts in Bamboo Data Center and Server7.5All versions including and after 8.1.0CVE-2023-34396BAM-255012023 年 11 月 21 日
DoS (Denial of Service) org.apache.tomcat:tomcat-catalina in Bamboo Data Center and Server7.5All versions including and after 8.1.0CVE-2023-42794BAM-254702023 年 11 月 21 日
DoS (Denial of Service) org.apache.tomcat:tomcat-coyote in Bamboo Data Center and Server7.5All versions including and after 8.1.0CVE-2023-44487BAM-254692023 年 11 月 21 日
RCE (Remote Code Execution) in Bamboo Data Center and Server8.5All versions including and after 8.1.0CVE-2023-22516BAM-251682023 年 11 月 21 日

必要なアクション

To fix all the vulnerabilities in this bulletin, Atlassian recommends patching your instances to the latest version. If you're unable to do so, patch to the minimum fix version in the table below.

製品推奨される修正
Crowd Data Center and ServerPatch to a minimum fix version of 5.1.6, 5.2.1 or latest
Confluence Data CenterPatch to a minimum fix version of 8.6.1 or latest
Confluence ServerPatch to a minimum fix version of 8.5.4 or latest
Bitbucket Data Center および ServerPatch to a minimum fix version of 7.21.18 or latest
Bamboo Data Center and ServerPatch to a minimum fix version of 9.2.7, 9.3.4, 9.3.5 or latest
Jira Data Center および ServerPatch to a minimum fix version of 9.12.0 or latest

To search for CVEs or check your products versions for disclosed vulnerabilities, check the Vulnerability Disclosure Portal.

最終更新日: 2024 年 1 月 16 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.